apache commons CommandLine對象可以防止命令行注入嗎？

Question

我想使用org.apache.commons.exec Java庫來調用可執行文件。 CommandLine對象是否可以防止命令行注入？例如，如果我稱之爲：

String singleStringArgument = "-whatever;rm -rf ~/*"; // evil looking argument! 
CommandLine cl = new CommandLine(new File(pathToExe,exeName)); 

cl.addArgument(singleStringArgument); // oh no! 

Executor exe = new DefaultExecutor(); 
exe.execute(cl); 

將rm -rf ~/*也除了本來的命令運行？如果確實如此，防止這種情況的最佳方法是什麼？

該API說addArgument()「處理引用」，但我不確定這意味着在這種情況下。我可以掀起一個測試案例來看看我的Linux機器上發生了什麼，但我想確保它在其他平臺上也是安全的。

Answer 1

;是shell的一個特性。如果你沒有創建一個圍繞sh -c或類似的命令行，你不能注入。這並不是說普通人是安全的，它甚至沒有運行具有可調性的程序。

Commons CLI正在封裝Process類。 Process類沒有文檔來啓動shell。它被記錄在一個exec與您指定的內容的指定參數。

根據評論，開源的奇蹟之一是你可以閱讀源代碼。如果commons-CLI的版本X按照你喜歡的方式進行操作，請依賴它，並且不要在沒有重新檢查的情況下進行升級。

Answer 2

所以你控制命令（pathToExe），只擔心這個參數？你怎麼知道命令？有沒有可能執行另一個程序？即使沒有調用輔助命令，它是否有可能做一些破壞性的事情？程序是否有其他漏洞（緩衝區溢出等）？

作爲一般的答案，這種方法似乎對我來說很麻煩，特別是如果你想讓它跨平臺工作的話。如果你知道要執行的命令並且可以限制輸入，那麼你可能會吱吱嘎嘎，但是我個人不會使用這種方法，除非有充分的理由這樣做。

Answer 3

我的建議是儘可能讓程序在安全方面犯錯，只發出命令本身，而不是愚蠢地執行命令片段或傳遞由最終用戶發佈的參數。注射劑有很多種類。 ;已經討論過。您也可以使用反引號（反包中的rm -rf ~/*使得shell首先解釋它）用戶還可以意外或有意地調用別名。可能出錯的事情清單是無止境的。